Win32.Delf.es in csrss.exe gefunden

#0
24.10.2004, 10:16
...neu hier

Beiträge: 3
#1 hi zusammen

ich hab heute einen virenscan mit dem kaspersky durchgeführt. ich habe zwei trojaner auf meinem system.

der eine beunruhigt mich jetzt ein bisschen, da ich nirgends was über diesen gefunden habe:

Win32.Delf.es in csrss.exe und system32/msnvl.exe

mein system: winxp sp2 mit zone-alarm firewall

kann mir hier jemand helfen? wie krieg ich dieses teil wieder weg? csrss.exe sollte ich ja nicht einfach löschen, oder?

vielen dank
Dieser Beitrag wurde am 24.10.2004 um 10:18 Uhr von hmuster editiert.
Seitenanfang Seitenende
24.10.2004, 12:23
Moderator

Beiträge: 7805
#2 Dazu solltest du ein Hijackthis log posten.
www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.10.2004, 13:01
...neu hier

Themenstarter

Beiträge: 3
#3 hier mein logfile:
Logfile of HijackThis v1.98.2
Scan saved at 13:00:01, on 24.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\csrss.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.bluewin.ch/services/index.php/chat_anmelden/?channel=basel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110504 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Seitenanfang Seitenende
24.10.2004, 13:14
Moderator

Beiträge: 7805
#4 Interessant. Benenne diese Datei bitte mal im abgesicherten Modus um:
C:\WINDOWS\csrss.exe und suche nach dem Neustart in der REgistrierung nach "C:\WINDOWS\csrss.exe" und poste wo es ueberall gefunden wurde. KAnn KAV diesen Virus im abgesicherten Modus nicht loeschen?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.10.2004, 13:16
...neu hier

Themenstarter

Beiträge: 3
#5 danke, werd ich gleich mal machen... meld mich dann gleich wieder.

EDIT:
hab das file jetzt im abgesicherten modus nach csrss2.exe unbenannt, und nach neustart im normalen modus im regedit nach csrss.exe gesucht. ergebnis:





ich mach zur zeit ein neuer scan... nach 18% scan noch keine viren/trojaner gefunden.

EDIT:
was neu ist: im taskmanager wird der csrss.exe prozesse nur noch einmal aufgeführt, und zwar vom system, nicht mehr vom user et.
Dieser Beitrag wurde am 24.10.2004 um 13:37 Uhr von hmuster editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: